Dosud neznámý modul IIS (software umožňující přidání dalších funkcí u webových serverů od Microsoftu), který krade přihlašovací údaje uživatelů při logování do aplikace Outlook Web Access (OWA), objevila společnost Kaspersky. Škodlivý doplněk, který nazvala Owowa, umožňuje útočníkům získat také přístup ke vzdálenému ovládání základního serveru. Vznikl mezi koncem roku 2020 a dubnem 2021 a využívá metodu skryté krádeže, jež odolává metodám ochrany pomocí monitoringu sítě. Je také odolný vůči aktualizacím Exchange Serveru, takže se může v zařízení ukrývat po dlouhou dobu.

V roce 2021 využívali aktéři pokročilých hrozeb stále častěji zranitelnosti Microsoft Exchange Serveru. Čtyři kritické zranitelnosti těchto serverů umožnily útočníkům získat v březnu přístup ke všem registrovaným e-mailovým účtům a spustit libovolný kód. Při hledání dalších potenciálně škodlivých implantátů v systému Exchange narazili odborníci společnosti Kaspersky na škodlivý modul, který útočníkům umožňuje krást přihlašovací údaje pro Outlook Web Access a získat kontrolu nad vzdáleným přístupem k základnímu serveru. Zákeřné funkce tohoto modulu, kterému dala společnost Kaspersky jméno Owowa, lze snadno spustit odesláním zdánlivě neškodných požadavků – v tomto případě požadavků na ověření OWA.

Analytici společnosti Kaspersky se domnívají, že modul byl sestaven mezi koncem roku 2020 a dubnem 2021, a zjistili, že míří na cíle v Malajsii, Mongolsku, Indonésii a na Filipínách. Většina obětí byla napojena na vládní organizace a další na státní dopravní podnik. Je pravděpodobné, že další oběti jsou také v Evropě.

Kyberzločincům stačí získat přístup k přihlašovací stránce OWA napadeného serveru a zadat do polí pro uživatelské jméno a heslo speciální příkazy. To umožní útočníkům usadit se uvnitř serveru Exchange a získat tak pevný opěrný bod v napadených sítích.

Výzkumníkům společnosti Kaspersky se zatím nepodařilo přiřadit modul Owowa k žádnému známému aktérovi hrozeb. Přesto zjistili, že je spojen s uživatelským jménem S3crt používaným vývojářem, který může stát za několika dalšími škodlivými binárními zavaděči. Slovo S3crt je ale jednoduchou odvozeninou z anglického slova secret a mohlo by ho klidně používat víc osob. Proto je také možné, že tyto škodlivé binární soubory a Owowa spolu nijak nesouvisejí.

„Nebezpečnost modulu Owowa spočívá zejména v tom, že ho útočník může použít k pasivní krádeži přihlašovacích údajů uživatelů, kteří normálně přistupují k webovým službám. Je to mnohem skrytější způsob získání vzdáleného přístupu než rozesílání phishingových e-mailů. K odhalení takových hrozeb lze sice využít nástroje pro konfiguraci IIS, ty se však obvykle pro monitorování souborů a sítí nevyužívají, takže bezpečnostní nástroje můžou Owowa snadno přehlédnout,“ vysvětluje Pierre Delcher, bezpečnostní expert z týmu GReAT (Global Research and Analysis Team) společnosti Kaspersky.

„Owowa je modulem IIS, což také znamená, že zůstává přítomný v systému, i když se Microsoft Exchange Server aktualizuje. Naštěstí se zdá, že si útočníci nepočínají příliš rafinovaně. Firmy by měly servery Exchange pečlivě sledovat, protože jsou pro jejich fungování mimořádně důležité a obsahují všechny jejich e-maily. Všechny spuštěné moduly by se měly raději považovat za potenciálně nebezpečné a pravidelně se kontrolovat,“ nabádá Paul Rascagneres, bezpečnostní analytik z týmu GReAT společnosti Kaspersky.

Přečtěte si celou zprávu o modulu Owowa na webu Securelist.com.

Společnost Kaspersky doporučuje k zajištění vaší organizace před hrozbami tohoto typu těchto několik kroků.

  • Pravidelně kontrolujte načtené moduly IIS na exponovaných serverech IIS (zejména na serverech Exchange) pomocí stávající sady nástrojů pro IIS. Vždy kontrolujte takové moduly v rámci aktivit zaměřených na vyhledávání hrozeb, a to pokaždé, když se objeví nějaká významná hrozba.
  • Zaměřte svoji obrannou strategii na detekci metody „lateral movement“ (postupného pronikání útočníka do sítě přes jedno ovládnuté zařízení a získávání kontroly nad dalšími zařízeními) a na exfiltraci svých dat na internet. Věnujte zvláštní pozornost odchozímu provozu, abyste odhalili připojení kybernetických zločinců. Pravidelně zálohujte data. Zajistěte, abyste k nim měli v nouzové situaci rychlý přístup.
  • Používejte řešení, jako jsou Kaspersky Endpoint Detection and Response a služba Kaspersky Managed Detection and Response, která pomáhají identifikovat a zastavit útok už v počátečních fázích, než útočníci dosáhnou svého cíle.
  • Používejte spolehlivé řešení k zabezpečení koncových bodů, jako je Kaspersky Endpoint Security for Business (KESB), které je vybaveno prevencí zneužití, detekcí chování a mechanismem pro obnovu provozu narušeného záškodnickými akcemi. KESB má také sebeobranné mechanismy, které můžou zabránit jeho odstranění